В брешь: Совет PCI ужесточает стандарты безопасности кредитных карт

Опубликовано: 18 Марта, 2023
В брешь: Совет PCI ужесточает стандарты безопасности кредитных карт

Стандарт безопасности данных в индустрии платежных карт (PCI DSS), отраслевой стандарт безопасности для кредитных и дебетовых карт, подвергся критике за то, что он не предотвратил мегабреши, от которых страдали розничные продавцы за последние несколько лет, такие как Target, Home Depot, Kmart, TJ. Maxx, Marshalls и, совсем недавно, Vera Bradley, и это лишь некоторые из них.

Многие из этих же розничных продавцов прошли аудит PCI DSS до того, как произошли нарушения. Большая часть критики стандарта была сосредоточена на том, что компании тратят время и ресурсы на прохождение аудита PCI DSS, а не на повышение безопасности данных кредитных и дебетовых карт в долгосрочной перспективе. После аудита многие компании ослабили бдительность и не смогли поддерживать улучшенный уровень безопасности.

Чтобы устранить пробелы в стандарте, Совет по стандартам безопасности PCI пересматривает PCI DSS с его последней версией.

Изменения, предложенные в PCI DSS версии 3.2 (v3.2), станут обязательными с 1 февраля 2018 г. До тех пор они считаются «наилучшей практикой» Совета по стандартам безопасности PCI. Предыдущая версия, PCI DSS v3.1, была прекращена 31 октября 2016 г., и все оценки после этой даты должны будут использовать v3.2.

Компании, не соответствующие новым требованиям, могут быть оштрафованы, увеличены сборы и даже запрещены операции с кредитными и дебетовыми картами.

Особый интерес для компаний, которые обрабатывают данные кредитных карт, PCI DSS v3.2 включает требование о том, что два или более учетных данных, известных как многофакторная аутентификация, должны использоваться для авторизации администраторов для доступа к данным и системам карт. В многофакторной аутентификации задействованы три типа факторов: что-то, что вы знаете, например пароль; что-то, что у вас есть, например жетон; и что-то у вас такое, биометрия. PCI DSS уже требует многофакторную аутентификацию для удаленного доступа к данным карты, но теперь она необходима для доступа во внутреннюю сеть.

Трой Лич, главный технический директор Совета по стандартам безопасности PCI, рекомендует компаниям «проанализировать, как они в настоящее время управляют аутентификацией в своей среде данных о держателях карт, а также проверить текущие роли администратора и доступ, чтобы определить, где изменения в аутентификации могут повлиять на изменения в аутентификации». новое требование».

Лич пояснил, что PCI DSS v3.2 также включает «дополнительную проверку назначенных организаций», которая представляет собой набор критериев для компаний, чтобы обеспечить надежную безопасность платежей по кредитным и дебетовым картам. Эти критерии включают «эффективный надзор за выполнением программы соблюдения требований; правильное определение окружения; и обеспечение наличия эффективных механизмов для обнаружения и оповещения о сбоях в критически важных элементах управления безопасностью».

Кроме того, компании должны будут обеспечить наличие мер безопасности после любых изменений в их среде данных о держателях карт, а поставщики услуг должны будут проводить тестирование на проникновение средств управления сегментацией каждые шесть месяцев. «Основное внимание уделяется установлению постоянных процессов безопасности для предотвращения, обнаружения и реагирования на атаки, которые могут привести к потере данных», — сказал Лич. Он отметил, что новый стандарт предоставит организациям возможность переоценить свои существующие процедуры безопасности, «и следует ли им вносить коррективы до применения новых требований».

Стандарт постоянного улучшения

В недавнем отчете об изменениях PCI DSS v3.2 компания Gartner, занимающаяся исследованиями рынка, отметила, что PCI DSS «превращается из стандарта, который обновляется каждые три года, в стандарт, который постоянно совершенствуется, что вынуждает соответствующие организации внедрять средства контроля соответствия PCI. и управление изменениями как часть обычного бизнеса, а не как специальный проект».

Чтобы справиться с этим сдвигом в процессе PCI DSS, Gartner рекомендовала компаниям создать надежный процесс управления изменениями и развернуть продукты управления политиками сетевой безопасности для автоматизации процессов управления изменениями.

Компании должны централизованно отслеживать оповещения для критически важных систем управления безопасностью, чтобы своевременно реагировать на проблемы с помощью таких инструментов, как продукты для управления политиками сетевой безопасности.

PCI DSS версии 3.2 требует от поставщиков услуг соблюдения новых требований в отношении методов обнаружения и отчетности, документации по криптографической архитектуре, тестирования на проникновение и ответственности исполнительной власти за защиту держателей карт. Сотрудники службы безопасности поставщиков услуг должны будут использовать надежное управление ключами для зашифрованных данных о держателях карт и лучшие практики для обработки критических сбоев системы управления безопасностью, подчеркнули в Gartner.

В целом, Gartner рекомендовала «вместо целевого подхода к соответствию требованиям PCI DSS принять системный подход, перемещающий реализацию средств контроля безопасности от проектного подхода к повседневным приложениям, системам и безопасности». операций».

Лучшие практики сетевой безопасности

В недавнем официальном документе поставщик управления политиками сетевой безопасности Tufin определил семь лучших практик сетевой безопасности, которые помогут компаниям соответствовать требованиям PCI DSS v3.2:

  1. Создайте четкое разделение с помощью надлежащей сетевой сегментации данных PCI и приложений в сети.
  2. Убедитесь, что рабочий процесс изменения сети в масштабе предприятия соответствует требованиям PCI DSS.
  3. Подтвердите, что каждое изменение в сети имеет полный контрольный журнал
  4. Проверяйте каждое изменение в сети, анализируя изменения на предмет рисков, получая одобрение от владельца бизнеса и обеспечивая внедрение изменений в соответствии с рабочим процессом изменения сети, совместимым с PCI.
  5. Убедитесь, что брандмауэры, защищающие зоны PCI, работают в соответствии со следующими рекомендациями — у каждого правила есть комментарий, у каждого правила есть журнал, нет правил с опасными службами и удалите неиспользуемые правила.
  6. Убедитесь, что каждое правило брандмауэра и группа облачной безопасности надлежащим образом задокументированы с указанием бизнес-обоснования, владельца бизнеса и имени приложения.
  7. Организуйте хранение журналов брандмауэра и облачной группы безопасности не менее года.

«Если ИТ-менеджеры и внутренние аудиторы PCI сделают все правильно, их работа по соблюдению требований PCI может также стать трамплином для их организации к непрерывной сетевой безопасности и более эффективным рабочим процессам», — говорится в официальном документе.

Совет по стандартам безопасности PCI надеется, что ужесточение требований аутентификации для доступа к данным держателей карт, постоянное соблюдение требований и усиление мандатов для поставщиков услуг предотвратят нарушения в будущем.

Достаточно ли этих изменений, чтобы остановить поток утечек данных кредитных и дебетовых карт, еще неизвестно. Скорее всего, избыток украденных номеров кредитных и дебетовых карт на черном рынке снизит их цену и сделает их менее привлекательной мишенью для киберпреступников.

Фото предоставлено Майком Моцартом.

Компьютерные сети

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Что такое прокси IPv4 и что он умеет
14 Июня, 2023
Оптические патч-корды: что это за кабели и для чего они нужны?
11 Мая, 2023
Оборудование MikroTik: что это такое и зачем оно нужно?
5 Апреля, 2023
Сервер удаленного доступа (RAS) для дозвона
29 Марта, 2023
Проверка настройки удаленного доступа к сети
29 Марта, 2023
Разрешения пользователя NT4
29 Марта, 2023
Установка/настройка сетевых драйверов NT4
29 Марта, 2023
Сеть тормозит!
29 Марта, 2023